alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Вот именно поэтому я не очень верю в способность РКН сделать хоть что-то полезное и осмысленное для защиты персональных данных и прав их субъектов.

Решение о блокировке форума, публикующего утечки ПДн, принято в марте 22-го года. Сайт заблокирован судом 31-го января 23-го года (не спрашивайте, почему между этими событиями 10+ месяцев; отставить шутки про «Почту России»). Вы думаете сайт теперь недоступен? Хренушки - все работает, как и раньше. Зато можно отчитаться, что граждане России защищены.

Не удивлюсь, если после принятия закона об оборотных штрафов и уголовной ответственности за незаконный оборот ПДн неустановленные лица (админы форума) будут оштрафованы и заочно арестованы. И кого волнует, что все это только на бумаге. В палочной статистике это будет подано как победа над врагами!

Вместо того, чтобы заняться нормальным правоприменением (кстати, что там с расследованием утечки из ГРЧЦ; вышли на самих себя?), регулятор занимается строительством воздушных замков.

Читать полностью…

Пост Лукацкого

Обзор 12 онлайн-курсов по ИБ (многие бесплатные, но все на английском) с получением сертификатов по окончанию

Читать полностью…

Пост Лукацкого

Зачем писсуару SD Card? Они бы еще TouchID туда встроили. Бездумная автоматизация и интернетовещейоснащение…

Читать полностью…

Пост Лукацкого

Конфликты, они всегда одинаковы, что физические, что виртуальные. Один думает, что он прав, другой - что он сильнее. А сгорают в итоге оба ;-(

ЗЫ. Бардин все-таки гениальный мультипликатор.

Читать полностью…

Пост Лукацкого

Сегодня у нас опять книжный день. Купился на аннотацию еще одной отечественной книжки, в которой рассказывалось о SOCах в КИИ, мониторинге ИБ в КИИ и т.п. Вот такой типовой SOC предлагается строить - все на нейросетях… но немного умалчивается момент, связанный с обучением нейросетки. Где взять реальные события для обучения? Список датасетов в приложении к книге есть, но он немного устаревший и совсем неполный - обучить на нем современный SOC невозможно ☹️

Читать полностью…

Пост Лукацкого

Челядь самарского губернатора Дмитрия Азарова сообщила о взломе портала с отчётом об исполнении самарской «Народной программы» «Единой России». Экстравагантное заявление о порче базы данных появилось после того, как выяснилось, что портал набит мусором. В буквальном смысле – случайными числами и стоковыми картинками. Бесстыжую халтуру Дмитрий Азаров богато продал Андрею Турчаку («только в Самаре», «уникальное», «выполнено 5400 объектов» и т.п.). После фотосессии с планшетом (лица мыслителей, думы о народе, бровки домиком) самарский фуфел был рекомендован Турчаком к повсеместному внедрению.
Тем временем объявлена премия 100 тыс. руб. тому, кто найдет азаровскую Народную программу - 2018. В неё, якобы, внесены 340 тыс. предложений от 205 тысяч граждан. Парадоксальным образом программы нет на «взломанном» портале с отчётом о её исполнении, а на месте портала для сбора предложений – реклама казино. Исчезло и приложение «Мы вместе», которое по заказу Департамента управления делами Азарова было разработано за неделю и 24 млн.руб. бывшим продавцом М-Видео.  Как, впрочем, нет и никаких следов того, что кто-либо интересовался Народной программой - 2018 до губернаторских выборов - 2023. Из 205 тысяч граждан телеграмм-каналом Народной программы заинтересовалось 84 человека. Её «уникальный информационный портал» имеет нулевую посещаемость и по какой-то необъяснимой причине не образует единое целое с официальным сайтом «Единой России». Обвинить хакеров в отсутствии интереса к продуктам губернаторской жизнедеятельности сложно. Поэтому стоит задуматься о том, насколько народной оказалась азаровская Народная программа - 2018. Если она вообще когда-либо существовала кроме как медийный фантом.  

Читать полностью…

Пост Лукацкого

ФБ напомнил, что 10 лет назад я задавался сакраментальным вопросом, который в неизменном виде могу снова задать и сейчас. Все-таки есть стабильность у нас в стране, есть…

Читать полностью…

Пост Лукацкого

Не работала учетка ребенка в школе. Написал в поддержку, получил гениальный ответ!

Читать полностью…

Пост Лукацкого

Регулярно стал видеть такое в соцсетях. Будьте бдительны - включите хотя бы двухфакторную аутентификацию!

Читать полностью…

Пост Лукацкого

Запись митапа Яндекса про внутреннюю кухню ИБ ИТ-компании. 4 доклада про безопасность финтех-сервисов в Yandex Cloud, методы защиты от современных DDoS-атак, организацию привилегированного доступа к Linux-инфраструктуре, автоматизацию процессов безопасности в корпорациях.

ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.

Читать полностью…

Пост Лукацкого

В прошлой заметке, когда я упомянул СПЧ, предлагающего приравнять защиту ПДн и гостайны, еще была надежда, что член СПЧ Кабанов ошибся, но теперь все встало на свои места. Тот же член предлагает аккредитовывать все организации, работающие с персданными 🤡. И ничего, что каждое российское юрлицо и ИП работает с ПДн. А потом этот член вспомнит, что раньше от каждого оператора ПДн требовали лицензию на ТЗКИ… 🥳

Читать полностью…

Пост Лукацкого

Спорил с преподавателем английского на тему, что такое искусство и, в частности, перформанс. Я придерживаюсь мысли, что, если в центре выставки наложить кучу говна, то это будет куча говна. А препод считает, что если автор вложил в это некий смысл и вокруг кучи говна строится целая история, то это уже перформанс.

К чему это я? На фото взломанная (или упавшая) винда, управляющая подсветкой колонн в торговом центре. Это я так приземленно думаю. А айтишник ТЦ может представить это как перформанс, демонстрирующий иллюзорность этого мира, ненадежность столпов, основ, на которых держится все наше мироздание.

Читать полностью…

Пост Лукацкого

Intelligence Architecture Mindmap в хорошем разрешении

Читать полностью…

Пост Лукацкого

Во-первых, это красиво - если убрать слово компьютерной (а это вполне допустимо), то название книги состоит из 9 существительных подряд. Во-вторых, уже на первых страницах авторы, ссылаясь на "Теорию положений о криминологии" Беккария и Бентама, строят свою методику прогнозирования атак на предположении, что если:
😈 у человека есть возможность совершить преступление и
😈 человек в случае совершения преступления получает достаточную (с точки зрения нарушителя) полезность,
то любой человек становится нарушителем.

То есть если бухгалтер может (а он может) перевести 25 миллионов рублей на подставной счет и при его зарплате в 50 тысяч рублей этой суммы ему хватит на 40 лет, то, согласно теории, такой бухгалтер станет обязательно нарушителем?.. И с этим тезисом я как-то пока не могу согласиться - буду читать дальше. Может по ходу авторы обоснуют свою методику. Пока же это выглядит странновато. Хотя эта же исходная предпосылка позволяет гораздо проще предсказывать атаки - вокруг же одни враги!

ЗЫ. Но обзор методик моделирования угроз и рисков, включая и методику ФСТЭК, сделан в целом неплохой.

Читать полностью…

Пост Лукацкого

На календаре 2 февраля, а это значит, что наступил 2nd FActor Day!
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация✔️
Например, на сайте Гослуслуг или в Telegram.

А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.

Читать полностью…

Пост Лукацкого

К разговору о том, что ИБ - это не только технологии и оргмеры, но и другие задачи, под которые тоже нужны люди. В российских компаниях (правда, немаленьких), в их службах ИБ, уже появляются новые должности, о чем и написал в блоге

Читать полностью…

Пост Лукацкого

«Исчерпывающе описано конечным числом первых событий…» Нууу, такое… Посмотрел бы я на современное ИТ-решение, которое имеет конечное число состояний и событий и для которого исключены недокументированные возможности. Возможно, где-то в теории такое и существует, но вот на практике…

Читать полностью…

Пост Лукацкого

Похоже, что авторы вместо КИИ по закону рассматривают КИИ по смыслу. Ну как всерьез можно утверждать, что для какой-нибудь почтовой системы районной поликлиники недопустимы остаточные риски (а это тоже КИИ)? Само упоминание недопустимости событий мне импонирует, но вот вывод… Это для какой-нибудь системы управления прохождением нефтепродукта по трубопроводу можно всерьез рассматривать, что остаточные риски недопустимы; и то с оговорками. Даже для АЭС есть остаточные риски, вполне себе допустимые.

ЗЫ. Это в теории нет разницы между теорией и практикой. А на практике есть.

Читать полностью…

Пост Лукацкого

Книга предлагает за счет асимптотического повышения уровня защищенности стремиться к идеальной ИБ. Уже одно это утопия, но на ней построена вся книга. Но это и удобно. Не надо разбираться в реальной работе SOCа и его компонентов. Достаточно сказать, что мы идем к идеалу "как должно быть". Поэтому можно приводить вот такие формулы оценки качества детекта…

Читать полностью…

Пост Лукацкого

Ода режиму шифрования ECB (Electronic Code Book)

Читать полностью…

Пост Лукацкого

Для обхода санкций и возможности доступа к ресурсам Сбера с зарубежных браузеров банк стал использовать «неофициальные» домены, например, securecardpayment[.]ru и secure-payment-way[.]ru. Оно и понятно - бизнес есть бизнес и терять клиентов никто не хочет. Но тут мы видим прямое нарушение рекомендации, которую ИБшники дают уже много лет, - проверяйте домены, на которые ходите. А тут как быть? Вот, например, скриншот фишингового домена microsoftidentity[.]dev для аутентификации в сервисах Microsoft.

Читать полностью…

Пост Лукацкого

OSC&R (Open Software Supply Chain
Attack Reference) - база знаний, описывающая тактики, техники и процедуры, используемые злоумышленниками для атак на цепочки поставок программного обеспечения.
Структура фреймворка OSC&R аналогична MITRE ATT&CK. Разработана бывшими и действующими сотрудниками Gitlab, Microsoft, Google Cloud, Check Point и OWASP.

Читать полностью…

Пост Лукацкого

Слабый пароль в GitHub теперь считается как CVE? Вы серьезно? Я таких CVE тысячами могу нагенерить!

Читать полностью…

Пост Лукацкого

Дорвался я что-то до отечественной ИБ-литературы (что книги, что диссертации)... Ох, зря... Но тут я не мог пройти мимо, все-таки темой SOCов я занимаюсь давно, а тут прям целая книга, да еще и с научными основами. Дай, думаю, просвещусь. Вообще, всегда удивлялся писучести ВУЗовских преподавателей. Строчат книги пачками; когда только успевают студентов учить... Ну да ладно, к книге.

Скажу честно, не зашло. Вот вообще. Ни научной ценности не увидел, ни практической. Построить даже SOC, не говоря уже о ЦПК (отличие в фокусе на предотвращении, а не мониторинге, но не суть), по этой книге нельзя. Даже высокоуровневая архитектура SOC нормально не описана; не говоря уже о низкоуровневой. Из нескольких десятков процессов SOC худо-бедно описаны 4 (и то есть вопросы). Модель зрелости SOC упомянута, но не описана. Технологический стек ограничивается преимущественно SIEM и ЖРС (это Log Management по-русски). Раздел про SIEM 3.0 убил окончательно - предлагается строить совершенные SIEMы на базе блокчейна (я бы посмотрел хотя бы на прототип системы, которая осуществляет запись в блокчейн хотя бы нескольких миллионов событий в сутки, не говоря уже о миллиардах). Утверждается, что даны вербальные описания ключевых индикаторов компрометации, но я их не нашел 🙁 Практические основы работы с источниками телеметрии?.. Нет. Use cases, плейбуки, RE&CT?.. Нет, не слышали.

Окончательно гвоздь в крышку ⚰️ забил раздел про практическую значимость книги и указание примеров организаций, в которых якобы было проведено внедрение в промышленную эксплуатацию описанных в книге результатов исследований. Но так получилось, что я в курсе того, как строилась система мониторинга в как минимум двух упомянутых автором солидных организациях. Там описанного в книге нет 🙁 А вот с тем, что материалы книги нашли свое отражение в ФГОСах 3 и 3+ по ИБ, верю.

Вообще все очень поверхностно - даже обидно при таком количестве свободно находимой в Интернет литературе. Я даже не говорю о минимум десятке книг по SOCам (именно по SOCам, а не по отдельным его процессам - реагирование, TI, аналитика, визуализация и т.п.; в этом случае только книг было бы под сотню), которые были выпущены за последнее время. Статей, WP и брошюр по теме еще больше. У меня только в электронной библиотеке таких, с любовью собранных и отсортированных, материалов 800+. То есть даже ради списка литературы книгу я бы не рекомендовал (хотя обычно у пишущих вузовских преподавателей самое ценное в книгах это именно этот раздел).

ЗЫ. А может просто это зависть во мне говорит, что я не книг давно не выпускал, ни диссер так и закончил (хотя дважды брался)? Мне тут предъявили, что я критикую одно ИБшное мероприятие потому что меня в программный комитет не позвали... Пойду к коучу-психотерапевту на сессию запишусь - может он мне подскажет, что ж я все критикую-то. Может проблема с ИБ все-таки не вокруг, а во мне?

Читать полностью…

Пост Лукацкого

Получаем много вопросов о том, какую профессию в сфере информационной безопасности выбрать, куда пойти учиться, и чем именно занимаются наши сотрудники. Поэтому мы решили подробно разобрать тему профессий в ИБ в новом сезоне подкаста «Hack me, если сможешь».

В первом эпизоде поговорим с ML-инженерами. Гости выпуска, руководитель отдела перспективных технологий Александра Мурзина и старший специалист отдела перспективных технологий Артем Проничев, расскажут, как устроена их работа в Positive Technologies, какие стеки технологий используют, куда можно развиваться работая ML-специалистом в ИБ и как попасть к ним в команду.

Будем рады поддержке этого выпуска лайком и репостом ❤️

Читать полностью…

Пост Лукацкого

ПО автомобиля нельзя обновить, потому что владелец живет на холме (дорога крутая). Интересная история… Если чуть подправить код (а я думаю, там простая бинарная проверка), то можно просто реализовать угрозу (даже можно сказать недопустимое событие для владельца авто), когда авто будет нельзя обновить вовсе

Читать полностью…

Пост Лукацкого

Представил… Поехал я на Магнитку 🧲, вышел на горнолыжный склон, стою, пью глинтвейн, осмысливаю доклад «Как достойно выстоять в противостоянии «Приказ ФАПСИ №152 vs. IIoT»… Подходит ко мне афроамериканец, говорит «Хаузит» («привет» на африкаанс) и намекает, что он сотрудник южноафриканских спецслужб. Я, конечно, сразу же сообщаю, что знаком с российскими спецслужбами, забыв упомянуть, что у многих из них я в черном списке ;-) Картина маслом…

ЗЫ. На Магнитку я, кстати, еду ✈️, а название доклада взято из программы. Все остальное - художественный вымысел. В контактах с южноафриканской разведкой пока не замечен.

Читать полностью…

Пост Лукацкого

Навороченная Intelligence Architecture Mindmap, которая базируется на интервью с кучей экспертов по ИБ и разведке о том, как проводится анализ информации при принятии решений в области ИБ.

ЗЫ. Сам черт ногу сломит - надо сильно увеличивать.

Читать полностью…

Пост Лукацкого

Кстати, портал НКЦКИ (safe-surf.ru) обновили. Симпатичненько так получилось.

ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?

Читать полностью…

Пост Лукацкого

А это варианты дашбордов для темы внутреннего аудита, включая и вопросы кибербезопасности, оценки защищенности приложений и т.п.

Читать полностью…
Подписаться на канал